Freitag: China-Spione hinter Barracuda-Angriff, aktive Cyberabwehr ohne Hackback
Chinesische Spionage per Malware + Cyber-Sicherheit ohne Hackbacks + Verkäuferdaten in US-Webshops + E-Parkplätze tabu für Benziner + Podcast zu EU-Datengesetz
(Bild: JARIRIYAWAT/Shutterstock.com)
Unbekannte Angreifer haben unter anderem hochrangige Stellen in Hongkong und Taiwan über eine Sicherheitslücke in Barracudas Mail-Gateways ausspionieren wollen. Sicherheitsexperten gehen von chinesischen Spionen aus, die per Malware Lauschangriffe durchgeführt haben. Ob die neue nationale Sicherheitsstrategie Deutschlands in einem solchen Fall greift, ist unklar, aber die Bundesregierung lehnt Hackbacks "prinzipiell" ab. Das Grundgesetz will sie dennoch ändern, zur Abwehr schwerer Cyberangriffe. In den USA bringt ein neues Gesetz mehr Offenlegungspflichten für Verkäufer in Online-Märkten. Das stärkt den Verbraucherschutz, aber mit Einschränkungen – die wichtigsten Meldungen im kurzen Überblick.
Chinesische Cyber-Spione stecken hinter den Angriffen auf die "Email Security Gateways" (ESG) von Barracuda, haben die IT-Sicherheitsforscher von Mandiant herausgefunden. Die Angreifer haben eine Sicherheitslücke ausgenutzt. Als diese geschlossen wurde, haben die Cyberkriminellen sofort ihre Malware modifiziert und zusätzliche Aktionen eingeleitet, um weiterhin Zugang zu den Systemen zu erhalten. Das Ziel war die Sammlung spezifischer Daten, etwa von hochrangigen Regierungsstellen oder akademischen Forschungsorganisationen, insbesondere in Taiwan und Hongkong, aber auch von amerikanischen und europäischen Niederlassungen in Südostasien über die Zero-Day-Lücke in Barracudas ESG: Die Spur führt nach China.
Die Quadratur des Kreises beim seit Jahren umstrittenen Thema des Zurückschlagens im Cyberspace strebt die Bundesregierung mit ihrer am Mittwoch im Kabinett beschlossenen nationalen Sicherheitsstrategie an. "Hackbacks lehnen wir als Mittel der Cyberabwehr prinzipiell ab", heißt es in der öffentlichen Version des Papiers unter Bezug auf den Koalitionsvertrag von SPD, FDP und Grünen. Andererseits strebt die Regierung aber "die Schaffung einer Bundeskompetenz zur Gefahrenabwehr bei schwerwiegenden Cyberangriffen aus dem In- und Ausland durch Änderung des Grundgesetzes an". Solche Formulierungen gelten als Synonym für die eigentlich abgelehnten Hackbacks: Keine Hackbacks, aber aktive Cyberabwehr mit nationaler Sicherheitsstrategie.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Ein neues US-Gesetz möchte Verbrauchern die Kontaktaufnahme mit Online-Händlern erleichtern. Außerdem soll es die Steuereintreibung erleichtern und mehr Hinweise auf gefälschte Produkte und Hehlerei zeitigen. Doch die Maßnahmen sind lückenhaft. Im Fokus stehen unabhängige Händler, die auf Online-Marktplätzen für Verbraucher physische Waren anbieten, die typischerweise von Verbrauchern nachgefragt werden und die neu oder unbenutzt sind. Sie sollen für Kunden wie Behörden leicht identifizierbar und erreichbar sein. Onlineshops, die sich an gewerbliche Abnehmer richten, betrifft das Gesetz nicht: Verkäufer in US-Webshops müssen Identität offenlegen, mit Kunden kommunizieren.
Autos mit Verbrenner-Motor, die auf einem Parkplatz für Elektroautos abgestellt wurden, dürfen abgeschleppt werden. Das gelte auch, wenn neben dem unzulässigerweise belegten weitere solche Parkplätze frei sind, hat das Oberverwaltungsgericht Münster entschieden und eine Berufung gegen ein Urteil der Vorinstanz abgewiesen. In dem Verfahren hatte 2019 ein Besitzer eines mit Kraftstoff betriebenen Autos geklagt, weil er sein Fahrzeug zu Unrecht aus einer Parkbucht entfernt sah. Doch die an dem Parkplatz angebrachte Beschilderung habe zweifelsfrei angezeigt, dass das Parken nur für Elektrofahrzeuge während der Ladezeit und nur mit Parkschein erlaubt gewesen sei: Verbrenner-Autos dürfen von Elektroauto-Parkplätzen abgeschleppt werden.
Im Rahmen ihrer Datenstrategie vollzog die EU-Kommission ab 2020 eine Kehrtwende in der rechtlichen Behandlung von personenbezogenen Daten: Während die geltende Datenschutz-Grundverordnung (DSGVO) einen sehr restriktiven Ansatz verfolgt, stellen alle derzeit in diesem Bereich geplanten Verordnungen die Wertschöpfung und die Förderung der Datenwirtschaft in den Vordergrund. Weil die DSGVO dennoch nicht angetastet werden soll, sind Widersprüche vorprogrammiert. Im c't-Datenschutz-Podcast exerzieren wir diese Ungereimtheiten anhand des Data Acts einmal durch. Dazu wurde eine absolute Expertin eingeladen in die Auslegungssache 88: EU-Datengesetze kontra Datenschutz.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Auch noch wichtig:
- Eine der Fehlerkorrekturen vom Microsoft Patchday wird noch nicht aktiviert. IT-Verantwortliche müssen sie selbst scharfschalten: Eines der Microsoft-Patchday-Updates bedarf manueller Aktivierung.
- Große zentrale Wärmepumpen könnten über Fern- und Nahwärmenetze den gesamten deutschen Heiz- und Warmwasserbedarf bedienen [-–] theoretisch, so eine Studie: Großwärmepumpen können drei Viertel des deutschen Gasverbrauchs sparen.
- Elektronische Dokumente originalgetreu wiedergeben, das sollte das Portable Document Format leisten. 30 Jahre später kann man Adobe nur zum Erfolg gratulieren: Babylonisches Sprachengewirr sorgte vor 30 Jahren für die Geburt des PDF.
- Die Ozeane sind weiterhin viel zu warm, aktuell etwa vor allem der Nordatlantik. Über die konkreten Ursachen wird noch diskutiert, über die wichtigste nicht: Anhaltende Temperaturrekorde in den Ozeanen sorgen für Wirbel.
- Jeder dritte deutsche Angestellte ist ein Quiet Quitter. Macht nicht mehr, als sein muss, und Dienst nach Vorschrift: Quiet Quitting – Ende der Überstunden?
- Valve hat ein umfassendes Update für seinen Steam-Client veröffentlicht, das den Look der Plattform umfassend überarbeitet. Neu sind auch Overlay-Funktionen in der Spieleplattform: Steam bekommt frisches Design und praktische Features.
- Heute vor 120 Jahren gründete Henry Ford in Detroit die Ford Motor Company und nahm mit der Produktion des Modell A den Kraftfahrzeugbau auf.
(fds)
